===== DHCP Snooping =====
Má zabránit připojení falešného DHCP serveru, který by mohl způsobit útok man in the middle, podstrčením IP adresy útočníka jako výchozí brány nebo DNS serveru. Porty switche jsou rozděleny na **trusted** a **untrusted**. Pravý DHCP server je připojen k trusted portu, uživatelé k untrusted portům. Switch zachtává všechny DHCP requesty z untrusted portů. Jakmile je na untrusted portu zachcena zpr. "DHCP reply", je zahozena a port přejde do stavu Errdisable. DHCP snooping udržuje databázi přiřazení adres (MAC-IP-Lease time-atd.).\\
Je-li na untrusted portu zachycen DHCP request, switch k němu přiřadí svou MAC+id portu v option 82, pak je req. forwardován k DHCP serveru. Option 82 poskytuje více informací o původci DHCP požadavku.

Zapnutí DHCP Snoopingu na switchi + určení dotčených VLAN:
  * Switch(config)# **ip dhcp snooping**
  * Switch(config)# **ip dhcp snooping vlan** //vlan-id [vlan-id]//

Po zapnutí Snoopingu jsou všechny porty def. untrusted.\\
Nastavení trusted portu:
  * Switch(config)# **interface** //type mod/num//
  * Switch(config-if)# **ip dhcp snooping trust**
Nastavení limitu DHCP zpráv / sec na untrusted portu:
  * Switch(config)# **interface** //type mod/num//
  * Switch(config-if)# **ip dhcp snooping limit rate** //1-2048//
Zap./Vyp. DHCP option-82 (def.zapnuto):
  * Switch(config)# **[no] ip dhcp snooping information option**

  * Switch# **show ip dhcp snooping [binding]**
<code>
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
Insertion of option 82 is enabled
Interface                      Trusted     Rate limit (pps)
------------------------       -------     ----------------
FastEthernet0/35               no          3
FastEthernet0/36               no          3
GigabitEthernet0/1             yes         unlimited
Switch#

</code>